个人信息关乎于自然人的人格尊严与自由,“取得个人同意”被视为个人信息处理最核心的合法性基础和标准化模式。但多数企业的合规认识仍停留在“告知+同意”这一步,殊不知用户知情同意只是合规处理的准入门槛。正如无救济的权利不是真正的权利,不可撤回的同意也不是真实的同意。保障撤回同意权是落实个人信息自决权的关键地带。
那么紧跟而来的问题是:企业该如何响应用户的撤回同意请求?企业能否对撤回同意设限?下文我们将就此进行案例解析,并从《个保法》和《民法典》两个维度展开探讨。
一、案例解读
刘某某诉顺丰个人信息保护纠纷案
(2020)京0113民初16062号
基本案情
原告刘某某与第三人严某均是春雨公司员工,尾号3433的手机号是春雨公司的公用电话号码。原告曾以尾号3433的手机号下单寄送快递,并向被告顺丰公司出示身份证,且通过与顺丰公司达成的电子运单契约条款同意被告对该号码及身份信息进行保存。
2020年3月、5月29日、6月11日,第三人严某三次用自己的手机号下单给客户邮寄东西。后第三人发现快递显示揽收异常,顺丰公司直接把涉诉三单快递的寄件信息换成了原告的个人信息。
2020年6月19日,刘某某致电顺丰公司客服,明确表示不同意顺丰公司将尾号3433的手机号在其系统中与刘某某身份证号关联储存,顺丰公司未予处理。
2020年7月2日,刘某某就此正式发送律师函,通知顺丰公司解除上述关联储存并删除系统中刘某某的个人信息,顺丰公司对此仍未及时采取合理措施。
刘某某遂以侵犯个人信息为由向法院提起诉讼,要求判决被告构成侵权并承担公开赔礼道歉、消除影响,赔偿维权合理开支、经济损失及精神损害抚慰金,承担诉讼费用等责任。
裁判观点:
本案中,法院首先认定,鉴于刘某某首次下单时出示过其身份证,且对电子运单契约条款表示同意,顺丰公司基于同意将尾号3433的电话号码与刘某某身份证号关联存储,该行为本身不构成个人信息侵权。
但在刘某某通过联系客服、发送律师函,向顺丰公司明确表示不同意将电话号码与其身份证号关联存储后,顺丰公司未及时采取合理措施,此时顺丰公司继续存储其身份证号的行为已侵害刘某某对其个人信息的控制权。
最终,法院判决顺丰公司对刘某某书面赔礼道歉,并赔偿刘某某维权合理开支九千元及精神损害抚慰金一千元。
二、从《个保法》的角度,看企业如何响应用户的撤回同意请求?
无救济的权利不是真正的权利,不可撤回的同意也不是真实的同意。《个保法》第十三条构建了告知同意规则作为合法处理个人信息的基本规则,使得客观上本属于侵入或妨害个人信息权益的处理行为具有合法性基础。在这一基础之上,《个保法》第十五条规定“基于个人同意处理个人信息的,个人有权撤回其同意”,且个人信息处理者应当提供便捷的撤回同意方式。
对于企业应如何落实保障用户“撤回同意权”的问题,我们建议关注以下要点:
(一)基于同意处理的情况下,应向个人提供撤回同意的方式
首先要明确的一点是,撤回同意仅适用于基于个人同意处理个人信息的场景。也就是说,如果企业依据“履行合同所必需”“法定义务所必需”等理由处理个人信息,无需作出同意自然也不存在撤回同意。
在要求用户作出同意的同时,企业也应当告知撤回同意的途径。《App违法违规收集使用个人信息行为认定方法》(下称“《App违法违规认定办法》”)第三条第8款明确将“未向用户提供撤回同意收集个人信息的途径、方式”认定为“未经用户同意收集使用个人信息”。
实务方面也已出现相关行政处罚。因杭州某网络科技有限公司未在隐私政策中说明如何撤回同意收集个人信息,2021年8月,浙江省杭州市公安局下城区分局天水派出所根据《网络安全法》对其作出罚款一千元的行政处罚。
(二)企业为用户提供的撤回同意方式应当“便捷”
目前国内立法对“便捷”的衡量标准未有定论,但参考欧盟《通用数据保护条例》,撤回同意应当和表示同意的方式一样便捷。参照这个标准,对于一揽子作出的授权同意,理论上也应当提供一揽子撤回同意的选项;如果通过弹窗单独同意收集通讯录、精准定位等敏感个人信息,应当同步提供一键撤回功能。此外,企业不应针对“撤回同意”设置多重跳转或要求完成一系列复杂手续。
对于撤回同意的页面设置,知乎App提供了一套参考模板:“权限设置”逐一列明目的、链接撤回路径;个性化推送一键关闭;提供“撤回隐私协议”的便捷选项。


图1:知乎App“撤回授权”路径
此外,国家税务总局下发的“《个人信息及人脸识别知情同意书》撤回申请书”等相关文书也对企业提供“撤回同意”渠道有很好的借鉴意义。对于基于个人同意处理个人信息的,个人有权撤回同意,可以持有效身份证件在办税服务场所申请撤回已签署同意的《个人信息保护告知同意书》《人脸识别服务协议》。如申请撤回同意书,个人的电子税务局账号将转为注销状态;如申请撤回协议,税务机关将不再处理个人的人脸信息。
图2:《个人信息保护及人脸识别告知同意书》撤回申请书
(三)以积极方式响应用户的“撤回同意”请求
在提供撤回路径的基础上,无论是线上产品端或是线下服务侧,企业在收到用户/消费者的“撤回同意”请求后,都有必要积极响应和落实。上述案例中,刘某某已通过致电客服和发送律师函向顺丰公司提出撤回要求,但顺丰公司并未及时响应并采取合理措施,因而败诉。
三、从《民法典》的角度,看企业能否对“撤回同意”设限?
关于如何响应“撤回同意”请求,可以衍生出另一值得探讨的问题:是否可以对“撤回同意”设限?
在“刘某某诉顺丰个人信息保护纠纷案”中,有一评析观点认为“用户并未因该同意授权行为获得任何经济利益,其撤回同意并不会给企业造成损失”进而得出结论“不应对用户同意撤回权设定限制条件”。对此,是否理解为“个人行使‘撤回同意权’的前提条件为‘用户未获得经济利益、未给企业造成损失’”?
(一)撤回同意权是一项人格自决权
在《民法典》中,“自然人的个人信息受法律保护”规定在第四编“人格权编”,体现了个人信息与人格权的关联关系,第1035条也提出“征得该自然人或者其监护人同意”是处理个人信息的一般原则。
从人格权的角度理解,个人信息主体所作出的“同意”是“自然人人格自决权”的体现,一方面表现为“授权他人介入其人格领域”,构成对其人格权的自我限制,类似的人格领域介入授权还包括《民法典》第1219条规定的“对手术、特殊检查、特殊治疗的同意”以及第1008条规定的“针对临床试验的同意”;另一方面也涉及“许可使用人格利益”,类比《民法典》第993条规定的民事主体有权许可他人使用自己的姓名或肖像等人格利益。
所以,为全面保障“人格自我决定”,个人信息主体也需要“撤回同意权”以消除他人对其人格领域的继续介入。鉴于人格尊严的绝对性,人格领域的自我决定不应受到限制,同意或撤回同意都应当由个人信息主体自由、不受限地做出,确保对其个人信息拥有真实而自由的自决权。
(二)基础合同关系能否限制撤回同意权?
但现实场景可能更加复杂。一个需要进一步讨论的问题是,如果企业和用户之间存在隐私政策以外的基础合同关系,此时企业是否仍应当保障用户同意的自由撤回?
比如,企业在用户授权同意后获得用户详细地址等个人信息,后续与用户形成运输服务合同等合同关系,企业需要处理用户个人信息以服务于合同关系的顺利进展。此时,如果用户在基础合同的履行过程中撤回同意,自然也会阻碍合同履行、有损于企业的信赖利益。
对于这一场景,有观点认为存在基础合同关系时,同意进行个人信息处理是对合同义务的履行,因而不可随意撤回;更多的观点则支持个人信息处理的撤回同意不受基础合同关系限制。
对于“基础合同关系能否限制撤回同意权”的问题,实际是“个人信息主体人格自决权”与“合同相对方信赖利益”的衡量比较。
我们认为,虽然合同关系赋予了企业作为合同相对方的信赖利益,但在价值取舍方面,自然人的人格自决权作为基本性权利应获得优先保障。因此,无论是否存在基础合同关系,在获得用户同意以处理其个人信息后,用户均有权主张撤回同意,企业可通过请求赔偿信赖利益损失以兼顾其作为合同相对方的信赖保护。
(三)“为订立、履行合同所必需”的合法性基础能否限制撤回同意权?
当涉及合同领域时,需要探讨的另一问题是,当个人信息处理同时存在“个人同意”及“为订立、履行合同所必需”两个合法性基础时,用户是否仍然能够撤回同意?
例如,一名用户注册了企业的线上商店账号,阅读《隐私政策》后点击“同意”,授权企业处理其个人信息,包括手机号和订单信息。同时,用户在线上商店购买商品,与企业形成了买卖合同关系,为订立和履行这一合同,企业有必要使用用户的手机号、记录用户的订单信息。此时,如果用户请求撤回对企业《隐私政策》的同意,拒绝企业处理其手机号和订单信息,企业是否可以根据商品买卖合同关系而予以拒绝?
如前文所述,“撤回同意”仅针对基于个人同意处理其个人信息的场景,由个人信息主体自由决定是否授权企业继续介入,这与基于其他合法性基础的个人信息处理场景并行不悖。两种合法性基础有其独立的价值考量,不存在相互依附或相互制衡的关系。
所以,用户的撤回同意仅终止企业基于用户同意的个人信息处理行为,并不影响满足“为订立、履行合同所必需”的个人信息处理场景。相对应的,企业也不能因为存在其他合法性基础,而限制用户撤回先前做出的个人信息处理同意。
因此,在上述案例中,当用户请求撤回对《隐私政策》的同意时,我们认为企业应当予以响应和支持,协助用户注销商店账号。但对于已存在的商品买卖合同关系,企业应同步向用户告知其个人信息处理的合法性基础及必要性,不受撤回同意的影响。
结语
撤回同意权协同“知情同意”为前置,构成个人信息处理成本最小化的标准模式,保障撤回同意权也对个人信息权益的实现起到至关重要的作用。虽然我国《民法典》《个保法》等法律对撤回同意权已作出规定,但总体上呈现抽象原则性,具体落实困难重重,学界业界百家争鸣。也正是如此,企业在强监管压力下更应切实保障用户个人信息权益,将合规落入实地,“前端与后台相统一”。
注释:
[1]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019,72(05):119-129.DOI:10.14086/j.cnki.wujss.2019.05.012.
[2]程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版。
[3]万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学,2021(01):167-188.DOI:10.14111/j.cnki.zgfx.2021.01.011.
[4] 刘云超与北京顺丰速运有限公司等个人信息保护纠纷一审民事判决书, (2020)京0113民初16062号
[5] 申卫星,杨旭.论订立合同作为个人信息处理合法性基础的限缩适用[J].南京社会科学,2022(04):76-86.DOI:10.15937/j.cnki.issn1001-8263.2022.04.009.
[6]刘召成.人格权法上同意撤回权的规范表达[J].法学,2022(03):82-96.
个人信息权保障难题解答:企业如何落地用户撤回同意权?
作者:张昌倩 盛宇涵 季千紫来源:广悦数据合规研究院

个人信息关乎于自然人的人格尊严与自由,“取得个人同意”被视为个人信息处理最核心的合法性基础和标准化模式。但多数企业的合规认识仍停留在“告知+同意”这一步,殊不知用户知情同意只是合规处理的准入门槛。